Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 18 dicembre 2019 [9220727]

[doc. web n. 9220727]

Provvedimento del 18 dicembre 2019

Registro dei provvedimenti
n. 223 del 18 dicembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (di seguito, “Direttiva”);

VISTO il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati - di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il decreto legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTI gli esiti degli accertamenti ispettivi effettuati nei giorni 7, 8 e 9 marzo 2018 presso la sede legale della Mybestoption S.r.l. in Sesto San Giovanni;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Nell’ambito di una generale istruttoria volta a verificare l’osservanza delle disposizioni in materia di trattamento dei dati personali nelle attività di telemarketing, nonché per acquisire informazioni in merito alle concrete modalità di controllo sulla filiera adottate dai principali committenti, è stato effettuato un accertamento ispettivo, nei giorni 7, 8 e 9 marzo 2018, presso la società Mybestoption S.r.l., fornitore di servizi per conto, tra gli altri, di XX S.p.A.

In tale sede è stato rilevato che la società svolge un servizio di vendita, tramite call center, di prodotti e servizi erogati da diversi committenti utilizzando i dati di contatto che gli stessi interessati hanno fornito, attraverso vari canali, al fine di essere richiamati direttamente dalla Mybestoption per avere maggiori informazioni sulle offerte di loro interesse. Più in particolare, la società opera principalmente pubblicando le offerte dei diversi operatori di telefonia, tv e utilities sul sito web di comparazione prezzi www.mybest.it, dove i soggetti interessati possono prendere visione dell’informativa sul trattamento dei dati personali e possono inserire i propri dati per essere richiamati. Inoltre, la società si avvale di fornitori di servizi di call center che effettuano una prima chiamata promozionale a soggetti presenti all’interno di proprie liste, fornendo una propria informativa; una volta acquisita una eventuale manifestazione di interesse ad essere richiamati da Mybestoption, i dati vengono comunicati a quest’ultima. Un servizio analogo è offerto alla Mybestoption da società che effettuano il primo contatto promozionale inviando messaggi via sms o e-mail a soggetti presenti all’interno di proprie liste; anche in questo caso, vengono comunicati a Mybestoption solo i dati di coloro che hanno acconsentito ad essere richiamati oppure gli utenti interessati vengono indirizzati direttamente al sito web www.mybest.it mediante un apposito link.

Nei contratti sottoscritti fra Mybestoption e i menzionati partner, con riguardo al trattamento dei dati personali, le parti si qualificano come autonomi titolari.

I dati acquisiti in questa prima fase sono caricati direttamente all’interno del sistema CRM (Customer Relationship Management) di Mybestoption tramite il quale le chiamate sono automaticamente smistate fra gli operatori dei call center incaricati di richiamare i soggetti che hanno espresso un interesse in tal senso. A tale fine, la società si avvale sia di call center propri che di partner, che operano in qualità di responsabili del trattamento. In questa fase, gli operatori chiamano in nome e per conto di Mybestoption. 

Se, all’esito di tali contatti, l’interessato decide di aderire ad una delle offerte proposte, l’operatore effettua la registrazione di un vocal order sulla base delle istruzioni e degli script forniti dal relativo committente e provvede ad inserire i dati per l’attivazione del contratto direttamente nei sistemi messi a disposizione dal committente stesso.

2. La società, inoltre, ha dichiarato di avvalersi, in alcuni casi, della Europe Service Group Sh.p.k., sita in Albania, per ricontattare i soggetti che abbiano mostrato un interesse per le offerte ricevute; a questa ha, inoltre, affidato servizi di back office quali la verifica dei vocal order e l’inserimento dei dati contrattuali nei sistemi dei committenti. Il rapporto fra Mybestoption e Europe Service Group è regolato da un contratto di appalto di servizi sottoscritto l’8 agosto 2016 (cfr. allegato 4 al verbale del 7 marzo 2018), avente ad oggetto il «servizio di back office per i committenti di MBO [Mybestoption] di volta in volta individuati in separato addendum». Più in particolare, le attività affidate alla Europe Service Group comprendono «l’accesso al CRM MBO per effettuare il riascolto dei vocal order» nonché «attività di data entry nel portale del committente». A tale contratto è allegata una lettera di nomina a responsabile del trattamento, di pari data, nei confronti di Europe Service Group da parte di Mybestoption, che si qualifica titolare del trattamento. Inoltre, in data 12 aprile 2017, è stato firmato dalle medesime parti un addendum al contratto concernente l’affidamento anche di attività di teleselling per conto dei committenti e sono state sottoscritte le clausole contrattuali tipo di cui alla decisione della Commissione Europea del 5 febbraio 2010, n. 2010/87/UE tra la Mybestoption, in qualità di esportatore, e la Europe Service Group, in qualità di importatore.

3. Nel corso dell’accertamento è stata acquisita anche la copia del contratto di agenzia concluso con la committente XX in data 3 aprile 2017 al quale è allegata la nomina a responsabile del trattamento di Mybestoption (cfr. allegato 2 al verbale dell’8 marzo 2018). Dall’esame di tale contratto, si evince che l’attività commissionata consiste nella vendita telefonica di prodotti e servizi XX con la possibilità di avvalersi anche di liste di clienti fornite da XX stessa. Nello stesso contratto, inoltre, è espressamente indicato il divieto di trasferimento dei dati verso Paesi extra-UE senza previa autorizzazione scritta di XX.

Dalle dichiarazioni rese a verbale risulta che Mybestoption si è avvalsa dei servizi di Europe Service Group anche per lo svolgimento delle attività commissionate dalla XX senza ottenere un’autorizzazione per iscritto ma, stando a quanto affermato, operando solo a seguito di accordi verbali. Inoltre, la stessa ha dichiarato di aver ricevuto da XX le credenziali necessarie ad accedere direttamente ai suoi sistemi per inserire i dati dei contratti conclusi telefonicamente; una di queste credenziali di accesso è stata data dalla Mybestoption alla Europe Service Group.

Ad integrazione della documentazione richiesta la società ha inviato, con nota del 14 marzo 2018, la copia dell’e-mail con cui la XX comunica le credenziali assegnate e ha specificato che «2 login vengono utilizzate per l’ascolto dei vocal order e 3 user-id vengono utilizzate per inserire i contratti nella piattaforma intermedia messa a disposizione da XX per l’attività di data entry». A tale comunicazione, inoltre, sono state allegate le email inviate alla Mybestoption da referenti XX con le quali si confermano – esclusivamente a nome di Mybestoption - le attivazioni delle suddette credenziali.

In risposta ad una specifica richiesta di informazioni, la XX, con nota del 18 ottobre 2018, ha confermato di avvalersi di Mybestoption quale responsabile del trattamento ma ha negato di aver ricevuto la richiesta di autorizzazione a servirsi della Europe Service Group confermando che tale ultima società non è, e non è mai stata, presente nella lista dei propri fornitori. Nella medesima nota, inoltre, la XX ha descritto il processo di attribuzione delle credenziali ai partner specificando che lo stesso presuppone il previo riconoscimento del destinatario come fornitore e può essere avviato solo con l’assistenza di personale XX; una volta accreditato, il fornitore stesso può attribuire ai propri operatori le user-id assegnate da XX.

Con nota del 10 giugno 2019 è stato notificato alla Mybestoption, ai sensi dell’art. 166, comma 5 del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento e per l’applicazione delle sanzioni di cui all’art. 83 del Regolamento e 162, comma 2-bis del Codice nella versione antecedente le modifiche apportate dal d. lgs. n. 101/2018 (di seguito anche “previgente Codice”).

Con nota del 9 luglio 2019, la Mybestoption ha fornito proprie osservazioni in replica nelle quali, ribadendo di aver avuto solo accordi verbali con i referenti della XX, ha evidenziato che il contratto in essere con la committente non prevedeva, in realtà, alcun obbligo di forma a carico di Mybestoption per comunicare la richiesta di avvalersi di un soggetto terzo, essendo invece la XX a dover fornire per iscritto un’autorizzazione che la Mybestoption, dato lo squilibrio contrattuale tra committente e fornitore, non ha comunque potuto pretendere. La società ha, inoltre, allegato uno scambio di mail, risalente al novembre 2016, tra un referente di Mybestoption e una referente commerciale di XX nel quale quest’ultima veniva informata dell’esistenza di un partner in Albania, subfornitore di Mybestoption per attività di back office, e veniva invitata a visitarlo.

Nel corso dell’audizione che si è tenuta presso gli uffici del Garante il 10 ottobre 2019, il rappresentante della società ha confermato che la referente XX si è recata in Albania nel 2016.

CONSIDERATO

1. Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, alla luce dei fatti sopra esposti, le attività poste in essere dalla Mybestoption si possono suddividere, con riguardo al ruolo svolto in ordine al trattamento dei dati personali, in tre tipologie:

1) l’acquisizione, tramite il proprio sito o tramite i partner, delle liste di soggetti interessati a ricevere informazioni commerciali;

2) l’effettuazione delle successive chiamate promozionali, direttamente o tramite fornitori, presentandosi a proprio nome;

3) la conclusione dei contratti con registrazione del vocal order e l’inserimento dei dati nei sistemi dei committenti.

Mentre nelle prime due fasi la società opera in qualità di titolare del trattamento, nella terza assume il ruolo di responsabile, essendo invece titolari i committenti. Tale quadro, che risulta dalla documentazione contrattuale prodotta, rispecchia anche la qualificazione fattuale dei diversi ruoli. Infatti, nelle prime due fasi, la Mybestoption, operando in nome proprio, decide modalità e finalità del trattamento; tuttavia, nel momento in cui il soggetto contattato decide di aderire ad una specifica offerta, la società inizia ad operare per conto del committente utilizzando le procedure e gli script da questo forniti e operando direttamente all’interno dei suoi sistemi informativi.

2. Con specifico riguardo all’attività svolta per conto di XX, si osserva quanto segue.

I rapporti fra le parti risultano formalizzati da un apposito contratto e le istruzioni a Mybestoption in merito al trattamento dei dati personali sono impartite dal titolare XX attraverso tale contratto e la lettera di nomina a responsabile del trattamento. Tuttavia, una parte del trattamento - consistente nel riascolto dei vocal order e nell’inserimento dei dati dei clienti direttamente nei sistemi XX – è stata affidata alla Europe Service Group direttamente dalla Mybestoption senza che ne sia stata comprovata la conoscenza da parte del titolare del trattamento. A tale riguardo, occorre aggiungere che la documentazione prodotta dalla società in fase difensiva, contenente uno scambio di mail con la referente commerciale di XX (cfr. punto 3 della premessa), pur comprovando che quest’ultima era stata messa a conoscenza dell’esistenza di un partner albanese della Mybestoption, non è tuttavia sufficiente a documentare che tale subappalto fosse in essere anche per la XX al momento dello scambio di mail né che lo stesso sia stato successivamente autorizzato. Tale carteggio, peraltro, risale ad una data antecedente alla sottoscrizione del contratto con XX, avvenuta, come detto, il 3 aprile 2017 dove tale modalità operativa è espressamente vietata in assenza di autorizzazione scritta.

La qualificazione dei ruoli indicata nel contratto fra Mybestoption e Europe Service Group, come descritto al punto 2 della premessa, ha rilievo solo nel caso in cui il trattamento riguardi le attività nelle quali Mybestoption opera effettivamente come titolare.

Deve invece ritenersi che le due società, nell’ambito della specifica attività svolta per conto di XX, agiscano – di fatto - quali responsabili di un trattamento di cui XX è l’unico titolare. Ciò in quanto è solo la XX a determinare le finalità (promozione e vendita dei propri prodotti e servizi) e le modalità del trattamento concedendo, a tal fine, apposite credenziali per l’accesso ai propri sistemi operativi.

Ai sensi dell’art. 29 del previgente Codice, era previsto che la nomina del responsabile del trattamento da parte del titolare fosse assistita da particolari garanzie quali la selezione sulla base di esperienza, capacità e affidabilità, l’assegnazione di istruzioni da parte del titolare e l’effettuazione di verifiche periodiche sulla conformità dell’operato. Medesime prescrizioni sono dettate, in maniera più dettagliata, dall’art. 28 del Regolamento nel quale, peraltro, è prevista la possibilità di nomina di un responsabile da parte di un altro responsabile ma solo in presenza di un’autorizzazione del titolare del trattamento che deve essere preventiva e scritta. Ciò al fine di mantenere sul titolare il controllo della filiera del trattamento, al di là dei rapporti negoziali fra le parti. Tali garanzie, evidentemente, non possono essere poste in essere senza la previa conoscenza del subfornitore da parte del titolare.

Nel caso di specie, la cessione a Europe Service Group delle credenziali per l’accesso al sistema di XX per il riascolto dei vocal order e per il caricamento della documentazione contrattuale ha comportato un accesso a dati personali da parte di soggetti non autorizzati configurando, di conseguenza, un’illecita comunicazione a terzi di tali dati. Occorre, a tal fine, ricordare che - come definito dal previgente Codice e dal Regolamento – per “comunicazione” deve intendersi anche la messa a disposizione o consultazione.

3. Tale comunicazione non autorizzata di dati personali a Europe Service Group, che ha sede in Albania, ha comportato, altresì, un trasferimento all’estero dei dati stessi in assenza di idonee garanzie per gli interessati; ciò in quanto il Paese di destinazione non è oggetto di una decisione di adeguatezza della Commissione e, allo stesso tempo, non sussistono garanzie adeguate poste in essere dal titolare del trattamento dato che il rapporto giuridico fra la Europe Service Group e la XX, non essendo da questa autorizzato, non risulta in alcun modo disciplinato contrattualmente. Come chiarito dalle linee guida del Gruppo art. 29(1), prima, e ribadito di recente dal Comitato europeo per la protezione dei dati personali(2), la presenza di una decisione di adeguatezza o di garanzie adeguate è da considerarsi una regola di carattere generale, in mancanza della quale il trasferimento è ammesso se ricorrono altre condizioni tra cui il consenso dell’interessato o la necessità di dare esecuzione ad un contratto o a delle misure precontrattuali; tali ultime condizioni, tuttavia, da considerarsi in deroga alla regola generale, comportano maggiori rischi per gli interessati e sono, pertanto, da interpretarsi in maniera restrittiva.

Nel caso di specie, stante la mancata conoscenza di tale trasferimento da parte degli interessati, ne consegue anche l’impossibilità per questi di prestare un consenso specifico e informato al trasferimento all’atto della registrazione che, come detto, avviene sulla base di script forniti dalla XX (i quali, verosimilmente, non possono contenere alcun riferimento alla Europe Service Group).

Né può ritenersi che la verifica dei vocal order fosse effettuata per adempiere ad attività connesse alla conclusione del contratto fra l’interessato e la XX non essendo soddisfatto il requisito della necessità di tale trasferimento: l’esternalizzazione di tale attività alla Europe Service Group, difatti, costituisce una mera scelta imprenditoriale della Mybestoption e non può, per ciò solo, considerarsi necessaria all’esecuzione delle attività previste per l’attivazione del contratto fra l’interessato (che non ne è a conoscenza) e il titolare (che non lo ha richiesto né autorizzato).

Infine, non si può considerare rilevante la presenza delle clausole contrattuali tipo sottoscritte fra Mybestoption e Europe Service Group (descritte al punto 2 della premessa) poiché queste, pur essendo valide per i trasferimenti posti in essere nell’esecuzione di trattamenti di cui Mybestoption sia titolare, non sono applicabili al caso di specie dato che solo XX, in quanto titolare del trattamento, avrebbe dovuto scegliere lo strumento più idoneo a garantire il trasferimento.

Tale trattamento, dunque, deve ritenersi illecito in quanto effettuato senza attenersi alle istruzioni del titolare, in violazione dell’articolo 29 del previgente Codice, comportando con ciò la comunicazione di dati personali a terzi in assenza di idonea base giuridica, in violazione degli artt. 23 e 24 del previgente Codice, nonché un trasferimento all’estero dei dati personali in assenza di idonee garanzie e, dunque, in violazione dell’art. 45 del previgente Codice.

La Mybestoption ha comunicato al Garante, con nota dell’11 luglio 2018, di non avvalersi più della collaborazione con la Europe Service Group chiarendo, con la memoria difensiva del 9 luglio 2019, di aver interrotto tale rapporto «a seguito delle ispezioni dell’Autorità, anche in vista della piena efficacia del GDPR»; la condotta, pertanto, deve ritenersi risalente ad un periodo antecedente alla piena efficacia del Regolamento e non più in essere.

TUTTO CIÒ PREMESSO IL GARANTE

a) rileva l’illiceità del trattamento posto in essere nei termini di cui in premessa e, conseguentemente, ammonisce la Mybestoption S.r.l. ai sensi dell’art. 58, par. 2, lett. b) del Regolamento a conformare, per il futuro, il trattamento di dati personali alle disposizioni della disciplina vigente;

b) si riserva di contestare alla medesima Società, con distinto provvedimento, la violazione amministrativa di cui all’art. 162, comma 2-bis del previgente Codice, con riguardo alla comunicazione non autorizzata di dati personali a terzi, in violazione di quanto disposto dagli artt. 23 e 24, del previgente Codice e all’illecito trasferimento all’estero dei dati personali, in violazione dell’art. 45 del medesimo previgente Codice.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679 e degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 dicembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

 

 

 

 

 

1. Cfr. Documento di lavoro su un’interpretazione comune dell’art. 26, paragrafo 1 della direttiva 95/46/CE – WP 114 adottato il 25 novembre 2005.

2. Cfr. linee guida 2/2018 sulle deroghe di cui all’art. 49 del regolamento (UE) 2016/679 adottate il 25 maggio 2018.